De Indiase Databeschermingswetgeving (PDPB) en de invloed op grensoverschrijdende gegevensoverdracht met EU-bedrijven
Sindsdien streeft de regering van het land ernaar om wetgeving te creëren die de rechten van individuen op gegevens privacy codificeert en bescherming.
Het meest recente wetsontwerp is eind 2022 uitgebracht en werd tijdens de moessonsessie van augustus 2023 in het parlement ingediend.
In deze blog zullen we de belangrijkste punten van het wetsvoorstel bespreken en deze vergelijken met de GDPR.
Reikwijdte en doelstellingen van het wetsvoorstel
De Digital Personal Data Protection Bill (Hierna: PDPB) werd op 3 augustus 2023 ingediend bij het Indiase Parlement. Aan deze indiening is een 10 jaar durend ontwikkelingsproces voorafgegaan. Er werd reeds in 2021 een veel uitgebreider en prescriptief ontwerp ingediend bij het Parlement, deze werd echter ingetrokken en vervangen door het huidige gestroomlijnd, op principes gebaseerd ontwerp dat voor raadpleging werd ingevoerd op 18 november 2022. Er volgde een uitgebreid raadplegingsproces en er werden enkele tientallen discussies gevoerd op het hoogste niveau van het ministerie. Het ministerie van elektronica en informatietechnologie heeft uiteindelijk de eerste fundamenten gelegd voor de ontwikkeling en goedkeuring van een op maat gemaakte Indiase wetgeving die ernaar streeft om een evenwicht te vinden tussen het mogelijk maken van gemakkelijk zakendoen en het beschermen van soevereine imperatieven, burgerrechten en databescherming.
Als een beknopt document van 33 pagina’s, geschreven in eenvoudige taal met verschillende illustraties, vormt het wetsvoorstel een belangrijke, bijna anachronistische afwijking van de dichte en prescriptieve benaderingen van de wetgevingen inzake de bescherming van persoonsgegevens, zoals de GDPR, die tot op heden centraal stonden. Enkele van de belangrijkste streefdoelen en elementen van de PDPB zijn de volgende:
- het opstellen van algemene basisregels waarvan verschillende elementen, zoals toestemming, doelbinding en gegevensminimalisatie, zijn aangescherpt tijdens het raadplegingsproces;
- door middel van gedelegeerde wetgeving enige leidraad bieden voor concepten zoals de wijze van ouderlijke toestemming en privacyverklaringen. Andere concepten zoals redelijke beveiligingspraktijken en technische en organisatorische maatregelen worden door de wetgever opengelaten voor interpretatie door de bevoegde entiteiten zelf;
- oprichting van een speciaal orgaan, de Raad voor gegevensbescherming, om onopgeloste klachten te behandelen en mogelijk materiële boetes op te leggen met aanbevelingen om aanvragen en diensten van recidivisten te verbieden;
- het inrichten van beroepsmogelijkheden bij de Telecom Disputes Settlement and Appellate Tribunal, en daarna het Supreme Court. Het wetsvoorstel voorziet in de creatie van een rijke bron van jurisprudentie rond privacy, wat in de essentie een grondwettelijk, fundamenteel recht is.
Bescherming en Evenwicht voor Gegevensverwerking in een Online Wereld
Het wetsvoorstel bepaalt dat het van toepassing is op “de verwerking van digitale persoonsgegevens binnen India waar dergelijke gegevens die online worden verzameld, of offline worden verzameld en worden gedigitaliseerd”, evenals “dergelijke verwerking buiten India als het gaat om het aanbieden van goederen of diensten of profileren van individuen in India.” Vergelijkbaar met GDPR, is het wetsvoorstel ontworpen om de personen binnen zijn bereik te beschermen, zelfs wanneer hun gegevens worden verwerkt door bedrijven of andere gegevensbeheerders buiten India. Het beoogt ook een evenwicht te vinden tussen het recht van individuen op gegeven privacy en de legitieme behoeften van gegevensbeheerders om gegevens te verwerken.
Rechten en Voorschriften onder de Indiase Persoonsgegevensbeschermingswet
De PDPB definieert de term ‘persoonsgegevens’ als volgt: “alle gegevens over een persoon die identificeerbaar is door of in verband met dergelijke gegevens”. Omdat het wetsvoorstel alleen van toepassing is op gedigitaliseerde persoonsgegevens, zijn er gebieden die daar niet onder vallen, waaronder geanonimiseerde gegevens, niet-gedigitaliseerde gegevens en niet-persoonsgebonden gegevens.
De PDPB legt de rechten vast van de personen die onder zijn bescherming staan, de voorschriften waaraan gegevensbeheerders moeten voldoen, de rechtsmiddelen voor niet-naleving en de beslechting van klachten.
Overeenkomsten en verschillen tussen de PDPB en de GDPR
Aangezien de GDPR vrij bekend en goed ingeburgerd is, is het nodig om de beleidsbepalingen van de nieuwe PDPB te vergelijken met de GDPR. Enkele belangrijke punten zijn de volgende:
-
Rechten van kinderen
Zowel de GDPR als de PDPB hebben specifieke bepalingen rond de rechten van kinderen op vlak van gegevensbescherming, echter zijn er wel enkele aanzienlijke verschillen. Zo stelt de GDPR de meerderjarigheid vast op 16 jaar en de PDPB op 18 jaar.
-
Classificatie van persoonsgegevens
Persoonlijke gegevens worden door de GDPR veel verder geclassificeerd in subgroepen zoals ras, etniciteit, politiek, religie en handicappen; voor bepaalde categorieën gelden andere of strengere nalevingsregels dan voor persoonsgegevens in het algemeen. De PDPB daarentegen richt zich op de brede categorie van persoonlijke gegevens, geen subset van gegevens is namelijk gevoeliger of beter beschermd dan een andere.
-
Gegevensbeheer
Onder de GDPR wordt de persoon die verantwoordelijk is voor het beheer en controleren van gegevens, de verwerkingsverantwoordelijke genoemd, de GDPR biedt geen verdere categorieën of unieke voorschriften voor bepaalde subsets. De PDPB voorziet daarentegen ook in de categorie van ‘Significant Data Fiduciares’ (SDF’s), u ontvang een SDFnotificatie wanneer u handelt met persoonsgegevens die wegens hun gevoeligheid en volume schade kunnen aanbrengen aan de betrokkene. De PDPB vereist dat de verantwoordelijken die onder deze categorie vallen aan strengere eisen voldoen. Het inschakelen van een functionaris voor gegevensbescherming (DPO) om toezicht te houden op het herstel van klachten, het inschakelen van een onafhankelijke gegevensauditor en het uitvoeren van gegevensbeschermingseffectbeoordelingen (DPIA’s) zijn hier voorbeelden van.
Conclusie
Er wordt al jaren gewerkt aan een adequate wetgeving rond gegevensbescherming in India. De huidige versie van het wetsvoorstel weerspiegelt de hoeveelheid moeite en discussie die erin is gestoken, en de goedkeuring ervan zou ertoe leiden dat India eindelijk een adequate wet inzake gegevensprivacy zou hebben om de meer dan 760 miljoen actieve internetgebruikers van het land te beschermen. Het begrijpen van de bepalingen en procedures van de PDPB is van cruciaal belang voor elke organisatie die persoonlijke gegevens van personen in India verwerkt, waaronder veel multinationale ondernemingen.